Il Garante per la protezione dei dati personali ha inflitto a Intesa Sanpaolo una sanzione amministrativa di 17.628.000 euro per aver trattato in modo illecito i dati di circa 2,4 milioni di correntisti, trasferiti unilateralmente alla controllata al 100% Isybank, la banca interamente digitale del gruppo. Il provvedimento, reso noto il 12 marzo 2026, chiude un’istruttoria complessa avviata a seguito di numerose segnalazioni pervenute all’Autorità da parte dei correntisti coinvolti nell’operazione, che risale all’estate del 2023.
Per individuare tra la propria clientela i soggetti da trasferire nella neo-istituita Isybank, Intesa Sanpaolo ha condotto una profilazione della clientela senza disporre di un’idonea base giuridica, come accertato dal Garante nel corso dell’indagine. I criteri adottati dall’istituto per selezionare i correntisti da migrare alla piattaforma digitale comprendevano un’età non superiore a 65 anni, l’utilizzo abituale dei canali digitali nell’ultimo anno, l’assenza di prodotti di investimento nel portafoglio e disponibilità finanziarie inferiori a una determinata soglia. Una selezione sistematica che, secondo l’Autorità, ha inciso in modo significativo sulla posizione dei clienti coinvolti, poiché ha comportato il trasferimento dei loro rapporti bancari a un diverso titolare del trattamento dei dati, con conseguenze dirette e rilevanti sui loro diritti.
Il passaggio a Isybank ha implicato, concretamente, la modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente sottoscritte al momento dell’apertura del rapporto bancario con Intesa Sanpaolo. Tra le conseguenze più rilevanti per i correntisti figurano l’attribuzione di un nuovo IBAN — con l’obbligo conseguente di doverlo comunicare a tutti i soggetti terzi, dai datori di lavoro alle utenze domestiche — e la totale assenza di sportelli fisici, con accesso al conto garantito esclusivamente tramite applicazione mobile. Una trasformazione radicale del rapporto bancario che, secondo il Garante, il cliente non poteva ragionevolmente prevedere sulla base del contesto e delle informazioni ricevute.
Comunicazioni insufficienti e periodo estivo
Un elemento centrale nella valutazione del Garante riguarda le modalià con cui Intesa Sanpaolo ha informato i propri clienti dell’imminente trasferimento. Le comunicazioni sono state inviate prevalentemente durante il periodo estivo, scegliendo la sezione archivio dell’applicazione di Intesa Sanpaolo come canale esclusivo di notifica, senza ricorrere a strumenti di comunicazione diretta e ad alta visibilità come notifiche push o SMS. Una scelta che, secondo l’Autorità, non ha garantito ai correntisti la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto, lasciandoli spesso ignari del trasferimento imminente fino a ridosso della scadenza fissata per esprimere il proprio eventuale diniego.
L’Autorità ha sottolineato come molti correntisti siano venuti a conoscenza del trasferimento soltanto dopo che la data ultima per opporsi era già trascorsa, rendendo nei fatti impossibile l’esercizio del diritto di opposizione. La struttura stessa della comunicazione — affidata a un messaggio nella sezione archivio dell’app, accessibile solo da chi effettuava accessi frequenti e specifici — ha ulteriormente limitato la platea di chi poteva prenderne consapevole atto in tempo utile. Il Garante ha dunque concluso che il trattamento effettuato dalla banca risulta illecito, in quanto privo di adeguata base giuridica e lesivo del principio di trasparenza sancito dal Regolamento generale sulla protezione dei dati (GDPR).
La storia del caso: da Antitrust a Garante Privacy
La vicenda Isybank ha una storia articolata, che ha visto l’intervento di più autorità indipendenti nel corso degli ultimi anni. Già nel novembre 2023, l’Autorità Garante della Concorrenza e del Mercato (Antitrust) aveva adottato un provvedimento cautelare per bloccare il trasferimento dei correntisti che non avessero fornito il proprio consenso espresso, ritenendo l’operazione non conforme alle disposizioni del Codice del Consumo. A seguito di quell’intervento, Intesa Sanpaolo si era impegnata a garantire la possibilità di rientrare nel perimetro della banca tradizionale e a procedere con nuovi trasferimenti solo in presenza di un consenso esplicito e informato da parte dei clienti.
Nonostante gli impegni assunti davanti all’Antitrust, il Garante della Privacy ha proseguito autonomamente la propria istruttoria, concentrandosi sulle violazioni del GDPR relative alla profilazione illecita dei dati e alla carenza informativa che aveva caratterizzato la fase iniziale dell’operazione, quella avviatasi nell’estate del 2023. Il procedimento si è concluso con la sanzione di 17,6 milioni, che rappresenta una delle più significative mai comminate nel settore bancario italiano in materia di protezione dei dati personali.
L’entità della sanzione e la collaborazione della banca
Nel definire l’importo della sanzione, il Garante ha adottato un approccio ponderato, tenendo conto di una pluralità di fattori sia aggravanti che attenuanti. Sul piano della gravità, l’Autorità ha valorizzato la rilevanza delle violazioni riscontrate e l’elevato numero di clienti coinvolti, che ammontano a circa 2,4 milioni di persone fisiche i cui dati sono stati trattati in assenza di una base giuridica adeguata. Sul versante delle attenuanti, il Garante ha invece riconosciuto il carattere colposo delle trasgressioni — escludendo dunque un dolo specifico nella condotta della banca — e la collaborazione prestata da Intesa Sanpaolo nel corso dell’istruttoria, elementi che hanno contribuito a contenere l’importo finale al di sotto di quanto le circostanze oggettive avrebbero altrimenti giustificato.
La sanzione di 17.628.000 euro si inserisce in un quadro più ampio di vigilanza rafforzata del Garante sul settore bancario e finanziario, sempre più orientato verso la digitalizzazione accelerata dei propri servizi. Il caso Isybank diventa così un precedente di rilievo per l’intero comparto, a riprova che le operazioni di migrazione digitale della clientela non possono prescindere dal rispetto dei principi fondamentali del GDPR, a partire dalla trasparenza e dalla necessità di un’adeguata base giuridica per qualsiasi trattamento di dati personali che incida in modo significativo sui diritti degli interessati.
Il contesto: la digitalizzazione forzata del sistema bancario
Il caso Intesa Sanpaolo-Isybank si colloca in un trend più ampio che caratterizza il sistema bancario europeo: la spinta alla riduzione dei costi operativi attraverso la dismissione progressiva delle filiali fisiche e la migrazione della clientela verso piattaforme interamente digitali. Isybank, lanciata nel 2023 come banca online del gruppo Intesa Sanpaolo, era destinata ad assorbire una quota significativa della clientela retail ritenuta compatibile con un modello di servizio esclusivamente digitale, consentendo al gruppo di razionalizzare la propria rete di sportelli e ridurre la struttura di costo del segmento di clientela meno redditizio.
L’operazione, tuttavia, ha scontrato la resistenza di una parte rilevante dei correntisti coinvolti, che non erano stati adeguatamente informati delle conseguenze pratiche del passaggio e che si sono ritrovati improvvisamente privi dell’accesso agli sportelli fisici a cui erano abituati. La pronuncia del Garante Privacy costituisce ora un segnale inequivocabile per tutti gli istituti di credito che intendano percorrere strade analoghe: la digitalizzazione dei servizi bancari non può essere imposta unilateralmente alla clientela senza il pieno rispetto della normativa sulla protezione dei dati personali e senza garantire ai correntisti un’informazione chiara, tempestiva e sufficientemente visibile sulle modifiche sostanziali al rapporto contrattuale in corso. Per restare sempre aggiornato scarica GRATIS la nostra App!
